-
Junior Member
- Вес репутации
- 51
Вирус заблокировал запись на диск С. Что делать?
1) Установлен Windows XP SP3, ноутбук, диски C и D, винчестер 1, CD-ROM нерабочий
2) Заблокирована запись на диск C. В свойствах показывает размер диска C: 0 байт, свободно 0 байт. Никакие программы не могут создать временные файлы на диске С, при попытке создать файл вручную пишет: "Диск С переполнен или защищен от записи".
3) Вирус создал виртуальный диск (F) под названием LOPQPKR HYBG5AB41Q SCSI CdRom Device (код экземпляра устройства SCSICDROM&VEN_LOPQPKR&PROD_HYBG5AB41Q&REV_3.5Z5&2C 4F72D4&0&000). Я удалил вручную программу Alcohol и удалил диск вируса через диспетчер устройств. Виртуальный диск удалился, но проблемы остались.
4)Антивирус Microsoft Security Essentials вируса не видит. Прописывался странный файл по адресу C:/Documents and settings/User/Local Settings/Temp/...
Была создана папка C:/Documents and settings/User/Local Settings/App
Утилита DrWeb Cureit не запускается из-за невозможности создать временные файлы. Извлек архив launch.exe, запустил DrWeb Cureit вручную. Ничего не нашел.
AVP не устанавливается, так как не может создать временные файлы
AVZ при обновлении баз выдает ошибку обработки файла Avzupd.zip
AVZ при простом сканировании закрывается автоматически. При сканировании через скрипт выдает такие ошибки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000034]
При попытке карантинить тоже выдает несколько ошибок, но карантин создает.
Лог выдает. Лог прилагаю.
HijackThis.exe выдает ошибку: Runtime error 481: Invalid picture
HijackThis.msi не запускается, т к опять же, "нет места на диске или защищен от записи"
Утилита GetSystemInfo тоже не запускается с ошибкой Invalid picture
RSIT на этапе Listing environment variables выдает ошибку: Windows не удалось найти "C:\rsit\info.txt"
GMER выдал 3 ошибки, но лог сделал. Лог прилагаю.
5) Как владелец для диска C установлено "Администраторы (Galaxy\Администраторы)". Мой профиль "Nike (Galaxy\Nike)" При попытке изменить с администраторов на меня выдает такую ошибку:
"Ошибка при применении параметров безопасности к: \Device\HarddiskVolume1\Autoexec.bat: Недостаточно места на диске."
Затем такая же ошибка для boot.ini и еще кучи файлов.
6) Стандартный загрузчик Internet Explorer не работает вообще. Download Accelerator Plus работает с перебоями, только на небольшие файлы, выдает ошибку Runtime Mode: The application has reguested the Runtime to terminate it unusual way
7) LiveCD использовать не могу т к Cd-ROM нерабочий.
8.) При выполнении в cmd команды chkdsk c: /f/v/r ошибка: "Невозможно выполнить команду CHKDSK, так как указанный том используется другим процессом"
При выполнении команды chkdsk c: "ВНИМАНИЕ! Параметр F не указан. CHKDSK выполняется только в режиме чтения" - видимо, ссылается на виртуальный диск вируса F:\
Результат этой проверки:
Запрошена проверка журнала USN
Исправление ошибок в рисунке тома
Windows найдены ошибки файловой системы
Запустите CHKDSK с параметром /F <fix> для их исправления
При команде CHKDSK C: /F ошибка, аналогичная первой.
Что делать, помогите! Есть ли надежда или перебивать винду?
Последний раз редактировалось vergere; 18.05.2010 в 02:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
Обновил базы AVZ вручную. При сканировании выдал подозрение на rootkit. При сканировании те же ошибки (см. выше). Логи прилагаю.
P.S. Как я понял, у меня два вируса: один - что-то вроде kido , а второй - тот, который блокирует диск С.
Последний раз редактировалось vergere; 18.05.2010 в 04:16.
-
В AVZ меню Файл - Восстановление системы - отметьте галочками строки:
19. Очистить ключи в MountPoints ...
и нажмите кнопку "Выполнить операции"
Помогло?
-